警惕：AJAX应用程序容易遭受到新型攻击 (2)

JavaScript漏洞

虽然许多网站将其交互特性归结为JavaScript，这种技术的广泛使用却带来了几个严重的安全问题。

在过去，这些安全问题源于针对邮件系统的蠕虫或利用易受攻击网站的跨站脚本漏洞。这种自我传播的蠕虫可以使代码被注入到Web站点中，其目的在于由Web浏览器或电子邮件客户端执行或解析，用以操纵或简单地重新检索用户数据。

随着Web浏览器及其技术特性继续演进发展，那些利用老的安全问题并创建了新的安全问题（与JS和AJAX有关）的恶意利用也水涨船高。这种技术的发展发生在这样一个时间：黑客们的最终目标从故意破坏转而进行公司数据的窃取（如客户信用卡细节），由此会在“黑市”上产生巨大的经济回报。

XSS蠕虫将会日益智能化并能够执行毁坏性攻击，例如，非常普遍的网络拒绝服务攻击，垃圾邮件和电子邮件攻击，以及更多的浏览器漏洞利用。近来还发现有可能利用JavaScript映射内部的和公司的网络，这就会使得网络中的任何设备（打印服务器、路由器、存储设备等）易于受到攻击。

最终，这种复杂的攻击将会促使我们查明特定的插入恶意JavaScript的网络资源，或者任何可被公共使用和返回数据的AJAX应用程序。

到目前为止，我们发现多数可用的Web扫描工具都存在着严重的安全问题，这些问题是在审核拥有着嵌入JavaScript的Web页面发生的。

结论

Web技术的进步允许Web应用程序更有效率，拥有更强的响应性能和交互性，不过，这种进步也增加了企业和Web开发人员每天所面临的威胁。

由于80号端口（HTTP）和443号端口（HTTPS）总是打开着，允许动态的内容传递和交换，那么Web站点就处于数据被窃取和毁损的持续风险中，除非这些站点通过一种可靠的Web应用程序扫描工具进行定期的审核。随着技术的复杂性日益增加，Web站点的弱点将会越来越明显，而其漏洞将会越来越严重。

AJAXye应用程序的出现引起严重的安全问题，这是由同样的技术及其复杂性所造成的。我们应当清醒地看到，由于在脚本执行上增强和在服务器/客户端的信息交换请求的变化，黑客们拥有了更多的机会来窃取数据，从而会花费企业大量的金钱，并丧失客户信任，对组织的声誉和可信度造成负面影响。

对有效安全审核的唯一方案在于一个可靠的漏洞扫描工具，它应当可以自动地扫描站点以确认弱点。不过，如果没有一个可以解析和执行JavaScript的引擎，这种扫描将是不准确的并会给Web站点的所有者一个错误的安全感觉。

(责任编辑：李磊)